AWS reforça segurança
13 de Junho de 2024

A Amazon Web Services (AWS) introduziu as FIDO2 passkeys como um novo método de autenticação de múltiplos fatores (MFA) para aprimorar a segurança e a usabilidade das contas.

Adicionalmente, conforme anunciado em outubro do ano passado, a empresa de internet lembra que as contas 'root' da AWS devem habilitar o MFA até o final de julho de 2024.

As FIDO2 passkeys são soluções de autenticação físicas (hardware keys) ou baseadas em software que utilizam criptografia de chave pública (par público + privado) para assinar um desafio enviado pelo servidor usado para verificar a tentativa de autenticação.

Ao contrário das senhas de uso único, as passkeys são resistentes a ataques de phishing e man-in-the-middle, são sincronizáveis, suportam múltiplas arquiteturas de dispositivos e sistemas operacionais, e proporcionam uma autenticação robusta graças à sua criptografia (tipicamente) inquebrável.

A Amazon afirma que sua implementação permite a flexibilidade de criar passkeys de software sincronizáveis para adicionar como um método MFA para contas AWS, desbloqueando-as por meio do Apple Touch ID no iPhone, Windows Hello no laptop, entre outros.

A empresa de internet diz que aqueles vulneráveis a ataques de phishing e engenharia social devem considerar usar passkeys para acessar os consoles da AWS, mas observa que, no fim das contas, qualquer forma de MFA é melhor do que nenhuma.

A Amazon informa aos clientes que ao escolher MFA, é importante considerar o modelo de segurança dos provedores de passkey, incluindo como eles tratam o acesso e a recuperação do cofre de chaves.

O uso obrigatório de MFA começará com os usuários de contas root independentes iniciando em julho de 2024, com a implementação afetando um pequeno número de clientes inicialmente e expandindo gradualmente ao longo de vários meses para dar aos usuários um período de carência.

Inicialmente, a exigência será aplicada apenas aos usuários root, que têm o mais alto nível de acesso e podem fazer alterações significativas no ambiente AWS, pois são mais suscetíveis a ataques prejudiciais.

Um alerta pop-up será exibido no momento do login para lembrar os titulares de contas impactados da nova exigência.

Usuários root de contas membro em organizações AWS e contas de usuários gerais não serão imediatamente obrigados a ativar uma etapa MFA, embora sejam fortemente encorajados a fazê-lo para segurança ótima.

A exigência de MFA deve ser estendida a outras categorias de usuários, mas os planos sobre isso serão compartilhados mais tarde no ano.

A Amazon diz que recentemente se comprometeu em melhorar a adoção de MFA assinando o compromisso Secure by Design da CISA, então a empresa está trabalhando ativamente em direção a esse objetivo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...